Nowe przepisy dotyczące ochrony danych osobowych, zawarte w rozporządzeniu PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (zwanego „Ogólnym Rozporządzeniem o Ochronie Danych” lub w skrócie „RODO”) w dużej mierze utrzymują dotychczas obowiązujące warunki legalnego przetwarzania danych osobowych.
Zgodnie z nimi, przedsiębiorca zbierający dane osobowe w ramach prowadzonej przez siebie działalności nie musi prosić o zgodę osoby, której dane będzie przetwarzał, o ile dane te będą przetwarzane:
- w celu wykonania umowy, której stroną jest osoba, której dane dotyczą (przy czym przetwarzanie danych musi być niezbędne do wykonania tej umowy) albo,
- na podstawie przepisu prawa albo,
- w interesie publicznym albo,
- w prawnie usprawiedliwionym celu przedsiębiorcy przetwarzającego dane, np. marketingu bezpośredniego własnych produktów czy dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej albo
- w żywotnym interesie osoby, której dane dotyczą, gdy pozyskanie zgody jest konieczne, ale niemożliwe.
W każdej innej sytuacji konieczne będzie wyrażenie zgody przez osobę, której dane mają być przetwarzane. Tutaj nowe przepisy zmieniają dotychczasowe zasady.
Przedsiębiorca przetwarzający dane musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie. Powinien w tym celu prowadzić i przechowywać odpowiednią dokumentację.
Jeżeli osoba, której dane dotyczą, wyrazi zgodę na ich przetwarzanie w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych treści. W zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Wyrażenie zgody na przetwarzanie danych osobowych może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie oznaczają zgody. Zgoda musi też być dobrowolna.
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Ponadto wycofanie zgody nie spowoduje, że dotychczasowe przetwarzanie danych stanie się niezgodne z prawem.
Ustawodawca planuje przyjąć rozwiązanie, zgodnie z którym w Polsce w przypadku dziecka, które nie ukończyło 13 lat, przetwarzanie danych będzie zgodne z prawem wyłącznie wtedy, gdy zgodę wyrazi lub zaaprobuje osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz gdy przetwarzanie nastąpi wyłącznie w zakresie wyrażonej zgody. W takich przypadkach przedsiębiorca przetwarzający dane dziecka poniżej 13 roku życia, będzie musiał podejmować rozsądne starania przy uwzględnieniu dostępnej technologii, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
Podsumowując, rozszerzeniu ulegną zasady i warunki pozyskiwania zgody na przetwarzanie danych osobowych, ale sama formuła pozostanie niezmienna.
Autor: Szymon Goździk, Prawnik